关于SSLVPN双ISP冗余的建议

金龙鱼 2975

{{ttag.title}}
本帖最后由 金龙鱼 于 2016-11-19 15:21 编辑

我算是咱们公司的绝对老客户了。2004年就开始用你们的vpn产品,那时候你们主要是软件vpn,硬件vpn刚刚推向市场,还不成熟。
一直用到现在。目前的版本是6.8.

我的网络架构是,双防火墙+双ISP,ISP1的IP绑定oa.xxx.com域名,isp2绑定oa2.xxx.com

外地员工平时都用oa.xxx.com拨入公司,但是当isp1故障时,EC 不能自动切换到oa2.xxx.com域名上。
例如今天中午,isp1又故障了,外地员工电话求助,我查看了之后判断是isp1故障,看日志是11:30左右。我只能告知员工输入oa2.xxx.com域名拨入公司。

ISP1是最高优先级,只有其故障时,内网数据才会走ISP2,ISP1恢复后,内网数据会自动优先切换回到ISP1上。
所以看监控图,ISP2上有数据了,ISP1没有数据流了,我就知道一定是ISP1故障了。

但是从外网到内网的sslvpn的数据,EC发现isp1故障时,不会自动去寻找isp2的。
我已经按照文档资料,设置了VPN设备的双线支持。我发现当isp1速度较慢时,EC会自动切换到ISP2.

我认为EC完全可以做到电脑那样,可以配置多个DNS服务器,分别轮询,哪个响应快就用谁。没响应就不用了。

IT可以只告诉员工唯一的一个sslvpn域名地址,在sslvpn设备上设置2-N个isp线路对应进来的IP地址或域名,当用户拨入进来时,EC检查本地的sslvpn服务器列表,看看是否和服务器一致,否则和sslvpn 服务器上的域名地址数据同步。为了提升效率,可以加个开关,是否是多线路,如此单个ISP接入的就省去校验和数据同步了。

我们外地分子公司10多家,500多人,即使我发送了相关文档给每一个人,新员工培训也说oa.xxx.com域名是主地址,不能使用时拨入oa.xxx.com域名,没几个人记住或看文档,他们也不知道oa.xxx.com不能用了,就用oa2.xxx.com,即使这次告诉了他,下次他还是不知道怎么办。

如果EC能够按照提前下发设置好的sslvpn服务器列表,判断速度ISP线路快慢,还能判断是否在线可用,然后再选择拨入最好的sslvpn接入地址,这将会给我带来极大的便利。

另外,针对我这种故障情况,不知道公司是否有其他的解决方案。

ISP1故障,ISP2自动启用,oa主域名地址无法成功拨入

ISP1故障,ISP2自动启用,oa主域名地址无法成功拨入

手工输入oa2地址可以成功拨入

手工输入oa2地址可以成功拨入

SSLVPNN已经做了多线路设置

SSLVPNN已经做了多线路设置

和楼主有同感吗?赶快顶起来助力研发哥快速完善!

发表的建议被采纳即可获得100-1000S豆不等,如果您在建议专区表现活跃,可获得产品顾问荣誉勋章!了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

SSL产品规划经理37248 发表于 2016-11-21 09:51
  
这个是真实的用户场景,多谢建议。
自动选择最快的线路,是ssl的一个自动选路的功能。
一条线路1故障后,会切换到另外一条线路2,登录界面上显示的还是线路1,但是tcp,l3vpn这些功能是可以从线路2使用的。
这个叫多线路备份。
2条线路互相来回切换的功能还没有。
金龙鱼 发表于 2016-11-21 10:17
  
其实就是类似于我们电脑的DNS,可以填写多个,电脑自动选择反应最快的dns服务器,如果我前面一个或两个dns填写假的DNS服务器IP,模拟DNS服务器故障,那电脑会自动去找第三个dns服务器的。
对于终端用户来说,他只需要记住一个sslvpn地址,其他备用的sslvpn地址都在后台即可。

我还有一个想法,能否提前把sslvpn地址在sslvpn设备上内置到控件里面,这样用户下载安装控件之后,只需要输入用户名和密码即可。

其他券商软件登陆,都是有很多个IP的,会自动寻找可用的服务器接入的。
dns.png

券商软件

券商软件
一三五七九 发表于 2016-11-21 17:35
  
可以考虑某公司AD链路负载均衡设备。
周子超 发表于 2016-11-22 21:13
  
你这个情况某公司应该不好解决.这个不属于某公司这个好解决的问题.  你连接IP1的时候慢的话某公司可以跳转到IP2,但是你IP1掉线了,某公司设备根本收不到来自IP1的请求,怎么给你跳转啊?
就像老师上课点名说:没来的举手.
你这个方法应该考虑在dns上设置.比如 oa.domain.com解析成2个IP,其中一个IP掉线会切换到另外一个IP.我们目前采用的解析是把域名分线路解析,就是域名都是sslvpn.mydomain.com如果用户来自联通就解析到221.10.x.x;如果用户来自电信会解析到220.166.x.x
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
秒懂零信任
自助服务平台操作指引
新版本体验
标准化排查
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

26
76
83

发帖

粉丝

关注

本版达人

新手24268...

本周建议达人

阿凯

本周分享达人

新手39341...

本周提问达人